.

OWASP ZAP: Werkzeugbeschreibung, Hauptfunktionen und nützliche Ressourcen

Technologie
Jakub Woźniak
Jakub Woźniak
27.01.2022

Pentester verwenden während eines Audits verschiedene Tools, um Zeit zu sparen und so viele Sicherheitsfehler wie möglich zu finden. Einige Aktivitäten können nicht manuell in angemessener Zeit durchgeführt werden. Ein Beispiel ist die Erkennung aller Unterseiten einer Website. Es gibt kostenpflichtige und kostenlose Tools, die dies ermöglichen. Schwachstellenscanner werden ebenfalls entwickelt und aktiv weiterentwickelt. Sie beinhalten Lösungen, die Pentesting unterstützen.

Was sind Schwachstellenscanner?

Schwachstellenscanner sind Tools, die den Prozess der Erkennung von Sicherheitslücken automatisieren. Sie umfassen statische Scanner - SAST, dynamische Scanner - DAST, und interaktive Scanner - IAST. Sie operieren mit bekannten und populären Mustern, die Fehler verursachen können, wie z.B. Cross-Site-Scripting, SQL-Injection, Command Injection, Path Traversal und andere. Es gibt viele Scanner, sowohl kostenpflichtige als auch kostenlose, und jeder hat seine eigenen Stärken und Schwächen. Sie können verschiedene Lösungen nutzen, um die Tools zu bewerten - die bekanntesten sind OWASP Benchmark und WAVSEP. Die Ergebnisse dieser Benchmarktests können Ihnen viel über die Eignung eines bestimmten Tools verraten. Bei der Auswahl eines Scanners empfehle ich, die Ergebnisse von Vergleichen zu lesen, die Vor- und Nachteile der verfügbaren Lösungen zu analysieren und eine fundierte Entscheidung zu treffen.

Ich werde Ihnen nun einen Überblick darüber geben, wie die Scanner arbeiten, und dabei einen von ihnen in den Fokus rücken. Es wird OWASP ZAP - das Dynamic Application Security Testing (DAST)-Tool sein.

Was ist OWASP ZAP?

ZAP (Zed Attack Proxy) ist ein kostenloses, Open-Source- und multifunktionales Tool zur Überprüfung der Sicherheit von Webanwendungen. Es zeichnet sich durch einfache Installation und Bedienung aus, was es zu einer der besseren Entscheidungen für diejenigen macht, die neu in dieser Art von Software sind. OWASP ZAP ist für Windows, Linux und Mac OS verfügbar.

Hauptmerkmale des ZAP Scanners

ZAP ist ein "Man-in-the-Middle-Proxy". Das bedeutet, dass es hinter dem Browser, aber vor der geprüften Anwendung läuft. Alle Informationen, die zwischen dem Browser und der Anwendung ausgetauscht werden, passieren daher zuerst ZAP.

Ein einfaches Diagramm, das zeigt, wie das OWASP ZAP-Tool hinter dem Browser, aber vor der Webanwendung läuft

Quelle: Zaproxy.org

Schauen wir uns nun einige ausgewählte Funktionen dieses Tools an.

Aktiver Scan

Aktiver Scan sucht nach potenziellen Schwachstellen mithilfe bekannter Angriffe. Es ist wichtig zu beachten, dass der Aktive Scan nur bestimmte Schwachstellen finden kann. Fehler in der Anwendungslogik können weder durch aktive noch durch automatische Schwachstellenscans gefunden werden. Dies ist nur während eines manuellen Audits möglich.

Passiver Scan

ZAP scannt standardmäßig alle HTTP-Anfragen und -Antworten, die von der Anwendung gesendet und empfangen werden. Beim passiven Scannen wird deren Inhalt nicht beeinflusst. In diesem Fall können wir zusätzlich Tags oder Warnungen hinzufügen, die uns über potenzielle Fehler informieren. Dies ist standardmäßig aktiviert, kann aber - wie die meisten Funktionen - konfiguriert werden.

Spider

Spider ist ein Crawler, ein Werkzeug, das es Ihnen ermöglicht, alle verfügbaren Links in der Anwendung zu entdecken und zu kartieren. Die Liste der entdeckten Links wird später gespeichert und kann verwendet werden, um zusätzliche Informationen über die geprüfte Anwendung zu entdecken oder für weitere passive oder aktive Scans.

Fuzzer

Dies ist eine Technik, die darin besteht, eine Menge falscher oder unerwarteter Daten an die getestete Anwendung zu senden. OWASP ZAP erlaubt Fuzzing. Wir können wählen, ob wir eine der eingebauten Nutzdaten verwenden, die von der ZAP-Community bereitgestellten und in Add-ons verfügbaren herunterladen oder unsere eigenen erstellen möchten.

Add-ons

ZAP hat Add-ons, die seine Fähigkeiten erweitern. Add-ons haben vollen Zugriff auf alle Funktionen des Hauptprogramms und können wirklich interessante Funktionalitäten bieten. Die Liste der Add-ons ist im Add-on-Marktplatz im Add-on-Verwaltungsfenster verfügbar.

API

ZAP bietet eine API, die es anderen Programmen ermöglicht, mit ihm zu interagieren. Es akzeptiert JSON-, HTML- und XML-Formate. ZAP stellt eine einfache Seite dar, auf der wir die Funktionalität der API sehen können. Standardmäßig kann nur die Maschine, auf der ZAP läuft, mit der API verbinden, aber Sie können in den Konfigurationsoptionen anderen Maschinen erlauben, Kontakt aufzunehmen.

Authentifizierung

Wenn die angegriffene Anwendung eine Authentifizierung erfordert, kann diese konfiguriert werden. ZAP unterstützt verschiedene Arten von Authentifizierungsmethoden. Die Liste umfasst manuelle Authentifizierung, formularbasierte Authentifizierung, JSON- oder HTTP/NTLM-basierte Authentifizierung und skriptbasierte Authentifizierung.

Tiefere Analyse - Wissensquellen über OWASP ZAP

Wenn Sie alles über die Nutzung von ZAP erfahren möchten, habe ich eine Liste von Ressourcen vorbereitet, die Ihnen helfen wird, jeden Aspekt des Tools zu verstehen und zu meistern und Ihnen den Einstieg in die große Gemeinschaft zu ermöglichen, die sich darum gebildet hat.

Community

  • User Group - Fragen zur Nutzung des Scanners.
  • Developer Group - Fragen zur Entwicklung des Programms.
  • HUD Group - Fragen zu ZAP Heads Up Display.
  • IRC - Hier finden Sie den Kontakt zu den ZAP-Entwicklern im #zaproxy-Kanal.
  • Evangelists - Liste der Personen, die mit dem ZAP-Tool vertraut sind und bereit sind, ihre Meinungen und ihr Wissen darüber zu teilen.

Fehlerbehebung

  • Issues - Wenn Sie auf ein Problem stoßen, können Sie es hier melden.
  • Bug Bounty Programm - Hier können Sie Schwachstellen melden.

Ihr Beitrag

  • Beitragsleitfaden - Ein Leitfaden, der beschreibt, wie Sie zur Entwicklung des Projekts beitragen können.
  • Quellcode - ZAP-Quellcode.
  • Crowdin (GUI) - Hilfe bei der GUI-Übersetzung.
  • Crowdin (Desktop Benutzerhandbuch) - Hilfe bei der Übersetzung des ZAP Desktop-Benutzerhandbuchs.

Lehrmaterialien

Es gibt viele Lehrmaterialien auf der Zaproxy.org-Website. Ich empfehle insbesondere diese Orte:

  • Der ZAP-Blog - Nachrichten aus der Welt der Sicherheit und des Programms selbst sowie Themen, die mit seiner Community zusammenhängen.
  • Zap Deep Dive - Eine Videoserie, die verschiedene Funktionen des Programms beschreibt.
  • ZAPCon 2021 - ZAPCon-Konferenzvideos mit Vorträgen von Experten über das Tool und Sicherheit im Allgemeinen.
  • ZAP in Ten - Eine Serie von kurzen Videos über ZAP.
  • ADDO Authentication Workshop - Eine weitere Sammlung von Materialien über ZAP, die sich auf Aspekte der Automatisierung und Authentifizierung konzentrieren.
  • All in One - Index, der alle offiziellen Materialien zu ZAP enthält.

OWASP ZAP Tool – Zusammenfassung

Das Testen der Anwendungssicherheit, unterstützt durch Tools, die diesen Prozess automatisieren, ist der Weg, um die größte Anzahl von Fehlern auf der geprüften Website zu erkennen. Einige Schritte sind zu zeitaufwendig, um sie manuell durchzuführen. Die Pentesting-Community hat kostenlose Tools erstellt, die Zeit sparen. Es lohnt sich, sie zu nutzen. Darüber hinaus ist die Zeit, die man mit dem Lernen des Programms verbringt, eine gute Investition, die es einem ermöglicht, einer Community von Personen beizutreten, die an Anwendungssicherheit interessiert sind. ZAP ist eines der bekanntesten Programme dieser Art. Darüber hinaus ist es kostenlos und Open Source, sodass jeder zu seiner Weiterentwicklung beitragen kann.

Ich benutze dieses Tool zum Beispiel, wenn ich die Sicherheit von Anwendungen in Drupal überprüfe. Wenn Sie Hilfe beim Audit dieser Plattform benötigen, lernen Sie unser Drupal-Support-Team kennen.

Looking for a job as a PHP/Drupal Developer?
Check related blog posts